GDPR (General Data Protection Regulation) eli suomeksi EU:n tietosuoja-asetus.
Yritykset ! Onko GDPR tietosuoja-asetus hallinnassa?
Toukokuussa 2018 yritysten tietosuoja-asioissa tapahtuu merkittävä muutos, kun EU:n uusi tietosuoja-asetus astuu voimaan. Se velvoittaa kaikkia yrityksiä käsittelemään entistä huolellisemmin asiakkaista ja henkilöstöstä kerättyjä henkilötietoja.
Siksi tämä GDPR koskee lähes KAIKKIA yrityksiä niin pieniä kuin isojakin, koska lähes kaikki yritykset käsittelevät/keräävät, joko asiakkaiden tietoja tai työntekijöiden tietoja.
EU:n tietosuoja-asetus on EU:n laajuinen asetus, joka tulee korvaamaan EU:n henkilötietodirektiivin johon Suomessa nykyisin sovellettava henkilötietolaki perustuu. Tietosuoja-asetus on astunut voimaan jo vuosi sitten ja nyt elämme siirtymäaikaa, jonka jälkeen asetuksen soveltaminen alkaa.
Siirtymäaika päättyy 25.5.2018!
Tietosuojan laiminlyönneistä voidaan rangaista tuntuvilla sakoilla, jotka ovat enintään neljä prosenttia yrityksen liikevaihdosta tai enintään 20 miljoonaa euroa.
Yksi GDPR:n tavoitteista on yhtenäistää henkilötietojen käsittelyä EU alueella ja tuoda ne digiaikaan, jolloin kaikki noudattavat samoja sääntöjä.
Tietosuojaperiaatteet
Asetus edellyttää että henkilötietoihin ja niiden käsittelyyn sovelletaan tietosuojaperiaatteita, joita ovat:
Rekisterinpitäjän osoitusvelvollisuus johtaa siihen, että sen on pystyttävä osoittamaan miten tietosuojaperiaatteita noudatetaan.
Tietosuoja suojaa rekisteröidyn oikeutta omiin henkilötietoihinsa. Yksityisyydensuoja henkilötietojen käsittelyssä on perusoikeus, joka on käsiteltävä tavalla, jolla varmistetaan asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä, sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä toimia.
”Rekisterinpitäjän osoitusvelvollisuus johtaa siihen, että sen on pystyttävä osoittamaan miten tietosuojaperiaatteita noudatetaan”
Selvitä, missä henkilötietoja yrityksessä ylipäätään sijaitsee ja miten niitä hallinnoidaan. Uuden asetuksen myötä yrityksen pitää pystyä esittämään selkeät syyt sille, että miksi, miten ja mihin tarkoituksiin henkilötietoja ylipäätään kerätään. Perusteluksi ei enää riitä pelkkä halu toimia tietyllä tavalla.
Tietosuoja-asetus vahvistaa rekisteröityjen oikeuksia nykyiseen verrattuna. Uutta on esimerkiksi oikeus tulla unohdetuksi, oikeus vastustaa henkilötietojen käsittelyä ja oikeus siirtää tiedot sähköisessä muodossa sekä oikeus saada ilmoitus tietoturvaloukkauksesta.
Yksi osa uutta asetusta on myös ns. osoitusvelvollisuus, eli yrityksen on kaikessa toiminnassaan kyettävä osoittamaan esimerkiksi dokumentaation avulla, miksi henkilötietoja on kerätty.
Rekisterinpitäjän ja käsittelijän velvollisuudet lisääntyvät esimerkiksi uusien dokumentointivelvoitteiden muodossa. Tietyntyyppistä toimintaa harjoittaville yrityksille tulee velvollisuus nimittää erityinen tietosuojavastaava. Asetuksen rikkomisesta voi seurata erittäin huomattavia taloudellisia sanktioita, joten myös henkilötietojen käsittelyyn liittyvät juridiset riskit kasvavat asetuksen myötä.
Määrittele tietoturvaan liittyvät roolit ja vastuut. Yksi ihminen ei voi olla koko organisaation tietoturva ja tietosuoja, joten yrityksen sisällä pitäisi olla oma määritelty tietoturvaorganisaationsa.
Koulutukset aiheesta tulisi myös pitää jatkuvasti ajan tasalla, jotta kaikki osaisivat puhaltaa yhteen hiileen. Tietoturvaan ja -suojaan tulisi panostaa enemmän. Yritysten pitäisi nähdä tietoturva osana liiketoimintaa, jota tulee tasavertaisesti tukea ja kehittää.
Tietoturvaloukkauksista tulisi myös raportoida yrityksen sisällä avoimesti, jotta niihin voidaan varautua. Yrityksen tulisi oppia, mitkä ovat ne kanavat ja reitit, joiden kautta mahdollisia hyökkäyksiä tulee. Tietoturvahyökkäys voi tulla yritykselle erittäin kalliiksi.
Tulevaisuuden digitaalisilla markkinoilla korostuu kuitenkin ennen kaikkea asiakkaiden luottamus. Tietosuojasta ja asiakkaiden henkilötiedoista huolehtiminen on erittäin tärkeä tekijä vahvan luottamuksen ja maineen rakentamiseksi.
Loppujen lopuksi asetuksen tarkoituksena on parantaa meidän jokaisen tietosuojaa, sekä mahdollisuutta kontrolloida sitä, mitä tietoja meistä missäkin yhteydessä käsitellään ja nähdä tämä tieto myös itse.
Lähteet: Talouselämä, Havain, Yrittäjät.fi